Archivo aparentemente inocuo con "sorpresa": el grupo APT‑C‑53 renueva su táctica para atacar organismos extranjeros
Un movimiento descuidado del ratón puede convertir un portátil de trabajo en una herramienta de vigilancia las 24 horas.
El grupo APT-C-53 reactivó el envío de adjuntos maliciosos dirigidos a estructuras en Ucrania. La nueva serie de ataques muestra que el grupo sigue desarrollando herramientas de intrusión sigilosa y actualiza la técnica de acceso inicial, combinándola con su esquema multinivel de ejecución de scripts.
Según 360 Threat Intelligence Center, los atacantes explotan la vulnerabilidad CVE-2025-8088 en WinRAR, que permite escribir datos ocultos en directorios arbitrarios del sistema. La víctima recibe un correo electrónico con un archivo comprimido adjunto que aparentemente contiene solo un archivo inofensivo. Al intentar extraerlo se activa un mecanismo de recorrido de directorios, tras lo cual en la carpeta de inicio de Windows aparece sin ser detectado un archivo HTA malicioso. Este se ejecuta en el siguiente inicio de sesión y obtiene la capacidad de persistir.
El cargador creado por el grupo, basado en HTA, ejecuta un VBScript compacto. Su objetivo es invocar mshta.exe y descargar desde un host remoto la siguiente parte del código malicioso, camuflado como PDF. Tras su procesamiento, el script revela una estructura multinivel de VBS con fragmentos que se decodifican al ejecutarse. Estos incluyen algoritmos de comunicación con los servidores de mando, herramientas de recopilación de datos y componentes para desplegar mecanismos ocultos adicionales.
Tras ejecutar la carga principal, el script asegura la reejecución por varios canales. Además de colocarse en la carpeta de inicio, se crean copias de archivos en directorios de usuario y se añade una tarea falsa del programador con un nombre que imita uno del sistema. Esto crea una segunda línea de persistencia y ayuda a sobrevivir a reinicios o a la intervención de un administrador. Los puntos de contacto configurados incluyen direcciones primarias y de respaldo para mantener operativa la infraestructura de mando.
La secuencia de acciones, la elección de herramientas y el carácter de los scripts VBS multinivel coinciden con las operaciones típicas del grupo APT-C-53, que durante años ha llevado a cabo campañas de recolección encubierta de información contra entidades ucranianas. La combinación de una vulnerabilidad nueva y un procedimiento de ejecución bien afinado les permite mantener la resiliencia de los ataques y complicar su detección.
Los especialistas recomiendan reforzar la filtración de adjuntos en las pasarelas de correo, prestando especial atención a los archivos comprimidos con contenido atípico. También se subraya la necesidad de ampliar la monitorización de los registros del sistema, en particular las acciones en la carpeta de inicio, la creación de tareas del programador y la ejecución de scripts. Mejorar la protección de las estaciones de trabajo, actualizar regularmente las soluciones de seguridad y analizar archivos sospechosos reduce la probabilidad de pérdida de datos por incidentes semejantes.
Las huellas digitales son tu debilidad, y los hackers lo saben